Установка ЭЦП с флешки на компьютер: пошаговая настройка 2026

Установка электронной подписи с флешки на компьютер — это перенос сертификата и закрытого ключа с USB-токена в хранилище Windows и настройка криптопровайдера так, чтобы система видела подпись и давала ей работать в браузере и в программах. Разберу по шагам, какой софт ставить и в каком порядке, чем извлекаемый ключ отличается от неизвлекаемого, почему ФНС-овский контейнер не получается просто скопировать на вторую флешку, и какие грабли ловят айтишники при настройке рабочего места. Если нужен более широкий контекст по всему, что связано с электронной подписью и работой с сертификатами, там собран весь процесс от выпуска до подписания документов.

Автор статьи — Мария Ж, юрист со стажем более 20 лет, соучредитель сервиса КЭДО Добыто, спикер на конференциях по КЭДО и юриспруденции, судебный эксперт в сфере корпоративного и трудового права. Занимается наймом персонала более 13 лет. Автор более 1000 статей о цифровой подписи, трудовом праве, КЭДО и HR.

Автор статьи

Мария Ж.

Кофаундер сервиса электронного документооборота Добыто

Кофаундер сервиса электронного документооборота Добыто. Юрист с 20 летней практикой. В 2008 году получала красный диплом юриста по корпоративной практике. Руководитель HR-отдела. Спикер на конференциях по КЭДО и юриспруденции.

Что значит установить подпись с флешки и что лежит на токене

Флешкой в обиходе называют USB-токен — Рутокен, JaCarta, eSmart. Хотя внешне он похож на обычный накопитель, это не накопитель. Внутри лежит защищённое пин-кодом хранилище, а в нём — закрытый ключ (закрытка), сертификат (серт) и привязка к одному или нескольким контейнерам. Сама по себе подпись с такого носителя не работает. Компьютер должен научиться его читать, а для этого нужен набор программ.

Установить подпись — значит сделать так, чтобы криптопровайдер увидел контейнер на токене, а личный сертификат прописался в хранилище личных сертификатов пользователя. Только тогда подпись подхватится в браузере, в КриптоАРМ, в Налогоплательщике ЮЛ, на торговых площадках и в сервисах ФНС.

Мария Ж, специалист по цифровой подписи и КЭДО:
«Половина обращений по теме «подпись с флешки не работает» закрывается на старте. Человек воткнул токен, увидел, что Windows распознала устройство, и думает — всё, готово. А криптопровайдера-то нет. Без крипты система видит просто железку, а не серт.»

Что понадобится для установки ЭЦП на рабочее место

Минимальный набор софта на рабочем месте такой:

• Драйверы для используемого ключевого носителя — Рутокен, JaCarta, eSmart и т.д.
• СКЗИ КриптоПро CSP версии 5.0 R2, сборка 12000 или выше.
• Плагин КриптоПро ЭЦП Browser Plug-in.
• Корневые сертификаты Минцифры России и УЦ ФНС России.
• Личный сертификат ключа электронной подписи, выданный удостоверяющим центром.
• Расширение крипто-плагина для используемого браузера.
• Иные плагины для конкретных информационных систем, если они требуются.

Порядок установки имеет значение. Сначала драйверы носителя, потом КриптоПро CSP, затем корневые сертификаты, после этого личный сертификат с токена и в конце — браузерный плагин. Если перепрыгнуть, на этапе установки личного сертификата система не найдёт контейнер, и придётся возвращаться к началу. Перечень программ для разных задач и сравнение средств подписи мы собрали в обзоре программ для подписания документов ЭЦП — там видно, что КриптоПро не единственный вариант, но для работы с КЭП ФНС он базовый.

Установка драйверов ключевого носителя

Сначала определите тип носителя — визуально или по документам, которые выдали вместе с подписью. От типа зависит, какой установочный пакет качать.

• Rutoken — https://www.rutoken.ru/support/download/get/rtDrivers-exe.html
• Рутокен ЭЦП 2.0 — https://www.rutoken.ru/support/download/egais/
• JaCarta — https://www.aladdin-rd.ru/support/downloads/jacarta
• eSmart — https://esmart.ru/download/

Запустите скачанный установочный пакет, ставьте драйвер в режиме по умолчанию, последовательно нажимая «Установить» и «Далее». Дождитесь сообщения о завершении и нажмите «Готово». Маленький нюанс, про который забывают: драйверы Рутокен уже включают в себя библиотеку PKCS#11. Это та самая библиотека, через которую КриптоПро CSP 5.0 R2 и выше работает с активными токенами и неизвлекаемыми ключами. Если поставить только КриптоПро, а драйверы носителя пропустить, часть контейнеров система просто не увидит. На проектах Добыто мы держим под рукой актуальные сборки драйверов под все ходовые модели токенов — так не приходится на каждом рабочем месте искать нужный пакет заново.

Установка КриптоПро CSP 5.0 на компьютер

КриптоПро CSP — это крипто-провайдер, без которого подпись с токена не оживёт. Есть два пути его получить.

Вариант первый. В рамках эксперимента по безвозмездному предоставлению ПО пользователям УЦ ФНС России дистрибутив скачивают на странице https://cryptopro.ru/fns_experiment. Нажимаете «Заполнить форму», вносите сведения, нажимаете «Скачать». Этот дистрибутив сразу включает и сам КриптоПро CSP, и плагин КриптоПро ЭЦП Browser Plug-in, и руководства по установке под разные ОС. Удобно тем, что не надо собирать всё по кускам.

Вариант второй. Зайти на https://cryptopro.ru, в меню «Продукты» выбрать КриптоПро CSP, зарегистрироваться или войти под существующим логином от личного кабинета и скачать дистрибутив там. После установки провайдер даёт пробный период, которого хватает, чтобы развернуть и проверить рабочее место.

Лицензия — отдельная тема. У подписи, полученной в УЦ ФНС в рамках пилота, лицензия КриптоПро CSP вшивается внутрь сертификата и действует ровно столько, сколько действует сам сертификат. Доставлять её отдельно на машину не нужно. А вот если вы будете генерировать запросы на сертификат на своём рабочем месте или использовать ключи без вшитой лицензии — понадобится полная лицензия на провайдер. Прикинуть, во сколько обойдётся лицензия под конкретный сценарий, помогает калькулятор КриптоПро.

Как установить ЭЦП с флешки на компьютер: пошаговая инструкция

Установка корневых сертификатов Минцифры и УЦ ФНС

Без корневых сертификатов личная подпись будет показываться как недоверенная — вместо зелёной галочки получите предупреждение о неизвестном издателе. Корневые сертификаты лежат по адресу http://uc.nalog.ru/crt. Нужны два файла: корневой сертификат Минцифры России (guc_22.cert) и корневой сертификат УЦ ФНС России (CA_FNS_Russia_2022_01.cert).

Установить надо оба. Запускаете файл двойным щелчком, «Открыть», в окне сертификата нажимаете «Установить сертификат». Дальше важный момент с раскладкой по хранилищам: корневой сертификат Минцифры ставится в «Доверенные корневые центры сертификации», а сертификат УЦ ФНС — в «Промежуточные центры сертификации». Последовательно нажимаете «ОК», «Далее», «Готово». Получить саму квалифицированную подпись, к слову, можно бесплатно в удостоверяющем центре ФНС России — для ИП и руководителей организаций с 2022 года эта услуга безвозмездная.

Мария Ж, судебный эксперт по трудовому праву:
«Перепутанные хранилища — классические грабли. Поставил оба серта в доверенные корневые, а потом удивляешься, почему цепочка доверия не строится. Минцифры — корень, ФНС — промежуточный. По-другому замочек зелёным не станет.»

Установка личного сертификата с флешки в хранилище

Это, собственно, и есть тот момент, ради которого всё затевалось. Токен должен быть подключён в USB-порт. Запускаете КриптоПро CSP, идёте на вкладку «Сервис», нажимаете «Просмотреть сертификаты в контейнере». Дальше «Обзор» и выбираете контейнер электронной подписи на носителе. Если контейнер один — выбор очевиден, если их несколько, придётся пошариться по окнам и сверить по имени, какой именно сертификат нужен. Дальше «Далее», система покажет данные сертификата, и через «Установить» личный сертификат пропишется в хранилище личных сертификатов пользователя.

После того как сертификат встал, компьютер готов к работе с подписью. Для дальнейшей работы токен должен оставаться в USB-порту — закрытый ключ извлекаемого типа подгружается в оперативную память в момент подписания, а без носителя подписать нечем.

Установка КриптоПро ЭЦП Browser Plug-in и проверка

Плагин нужен, чтобы подпись работала в браузере — на Госуслугах, в сервисах ФНС, на торговых площадках. Качаете крипто-плагин на сайте КриптоПро, запускаете установочный файл, соглашаетесь с установкой, ждёте завершения. Когда выскочит окно с предложением включить плагин в браузер — включаете расширение. Потом заходите в расширения браузера и проверяете, что оно реально включилось, а не висит отключённым.

Проверка работы плагина и подписи

На той же странице, где скачивали плагин, есть кнопка «Проверить работу плагина». Жмёте — сервис показывает, видит ли он сертификаты и корректно ли установился крипто-плагин. Это быстрый способ убедиться, что рабочее место готово, не дожидаясь первого реального документа. После всех шагов компьютер готов к работе с электронной подписью, токен подключён в USB-порт, подпись подхватывается и в браузере, и в программах.

Подписать документ электронной подписью онлайн

1 Загрузите необходимые файлы:

Перетащите или выберите файл

2 Выберите электронную подпись:

Отправить

Отправить

Нажимая кнопку «Подписать», я даю свое согласие на обработку моих персональных данных, в соответствии с Федеральным законом от 27.07.2006 года №152-ФЗ «О персональных данных», на условиях и для целей, определенных в Согласии на обработку персональных данных.

Проверка электронной подписи онлайн — сервис Добыто

Проверка электронной подписи

Загрузите файл подписи или пару файлов для открепленной подписи.
Сервис проверит целостность подписи и покажет сведения о сертификате.

1 Выберите тип подписи:

Для присоединенной подписи нужен один файл. Для открепленной проверки требуются документ и файл подписи.

2 Загрузите документ и подпись:

Документ

Перетащите или выберите файл

Файл подписи

Перетащите или выберите файл

Нажимая кнопку «Проверить подпись», я даю свое согласие на обработку моих персональных данных, в соответствии с Федеральным законом от 27.07.2006 года №152-ФЗ «О персональных данных», на условиях и для целей, определенных в Согласии на обработку персональных данных.

ОтправитьОтправить

Образцы документов для работы с электронной подписью

Извлекаемые и неизвлекаемые ключи: почему флешку не всегда скопируешь

Тут начинается то, что отличает айтишника, который понимает, что делает, от того, кто тыкает «Далее» по инструкции. Ключи на токене делятся на две категории — извлекаемые и неизвлекаемые. Разница не косметическая.

Извлекаемый ключ при подписании ненадолго выгружается в оперативную память компьютера, отрабатывает и забывается. Именно поэтому он и называется извлекаемым. Такой контейнер можно скопировать на другой носитель — если при генерации был выставлен флаг «экспортируемый». А вот неизвлекаемый ключ генерируется внутри криптоядра самого токена и память токена никогда не покидает. Скопировать его невозможно физически. Закрытка рождается, живёт и умирает внутри чипа.

Отсюда практический вывод, который ловит людей врасплох. Если подпись получена в УЦ ФНС, контейнер выдаётся неэкспортируемым — по регламенту удостоверяющего центра, ради безопасности. Скопировать такую подпись с одной флешки на вторую «про запас» не выйдет, как ни старайся. Это не баг установки и не кривые руки — это так задумано.

Ещё момент про совместимость версий. Классические провайдеры КриптоПро линейки 3.6-4.0 умеют работать только с извлекаемыми ключами — такие носители называют пассивными. Активные токены с неизвлекаемыми ключами и защитой канала появились начиная с КриптоПро CSP 5.0. Поэтому если у пользователя ключ периодически гуляет между разными машинами, на части которых стоит старый провайдер, ему нужен извлекаемый ключ — только он заведётся везде. Это не теория, такое сплошь и рядом: токен вещь мобильная, и на одной машине его жизнь редко заканчивается.

Мария Ж, специалист по цифровой подписи и КЭДО:
«Самый частый вопрос от заказчиков: «а можно мы одну подпись на пять флешек размножим, чтобы у всех была». Если это ФНС-овский серт — нет, нельзя, контейнер неэкспортируемый. И это правильно. Подпись руководителя не должна валяться в пяти ящиках стола. Каждому, кто реально подписывает, нужна своя закрытка.»

Сколько подписей влезает на токен — тоже частый вопрос. На 128 КБ защищённой памяти, по практике тестирования, помещается до 31 контейнера в извлекаемом ЦСП-формате. Но если контейнеры «толстые», с большими сертификатами и цепочками, реально влезет порядка 10 штук. Каждый контейнер с дополнительной информацией занимает примерно 12 КБ в верхней оценке — точная цифра зависит от того, что удостоверяющий центр дописал в расширения сертификата. В сервисе Добыто при подготовке рабочих мест мы сразу закладываем нужное число токенов под подписантов, чтобы потом не упираться в перевыпуск из-за неэкспортируемых контейнеров.

Стоимость внедрения электронной подписи и КЭДО для компании

Когда речь не про одну подпись, а про десятки и сотни рабочих мест, к стоимости самих сертификатов и токенов добавляется стоимость сервиса, который всё это держит и обслуживает. Итоговая сумма зависит от численности персонала, выбранного тарифа и набора подключаемых модулей. Ниже — тарифы сервиса КЭДО Добыто, в которых работа с подписью идёт в связке с кадровым документооборотом.

По тарифу Бизнес действует минимальная оплата — 50 сотрудников за 30 000 ₽ в год. Что именно войдёт в стоимость, зависит от числа рабочих мест, нужных видов подписи и интеграций с учётными системами — актуальные тарифы сервиса Добыто помогают рассчитать сумму под конкретную компанию. Лицензию на КриптоПро CSP и сами токены считают отдельно, поскольку это уже расходы на инфраструктуру подписи, а не на сервис.

Частые ошибки при установке ЭЦП с флешки

Большинство проблем повторяется из раза в раз. Разберу те, что встречаются чаще всего, и во что они обходятся.

Ставят софт не в том порядке. Сначала пытаются установить личный сертификат, а потом — драйверы и провайдер. Делают так, чтобы «побыстрее проскочить». Цена ошибки — контейнер не находится, человек думает, что токен битый, иногда едет в УЦ за перевыпуском. А носитель исправен, просто крипты на машине нет.

Путают хранилища для корневых сертификатов. Оба серта суют в «Доверенные корневые». Мотив — «какая разница, оба же корневые». Разница есть: цепочка доверия не строится, подпись показывается недоверенной, на госпорталах её отклоняют. День-два простоя на ровном месте.

Рассчитывают скопировать ФНС-овскую подпись на запасную флешку. Логика понятна — подстраховаться. Но неэкспортируемый контейнер не копируется, и вся затея упирается в перевыпуск нескольких подписей, которого можно было избежать, если бы заранее заложили нужное число токенов.

Забывают включить плагин в браузере. Установили, но расширение висит отключённым. На сайте подпись «не видится», и начинается переустановка по кругу, хотя достаточно зайти в расширения и включить тумблер.

Игнорируют версии провайдера. На рабочем месте КриптоПро 4.0, а ключ выпущен как неизвлекаемый под 5.0. Подпись не заводится, потому что старый провайдер активные токены не понимает. Лечится обновлением провайдера, но сначала надо понять, в чём причина.

Мария Ж, юрист со стажем более 20 лет:
«По опыту массовых внедрений в сервисе Добыто, на сотне рабочих мест без единого регламента установки вы получите сотню разных конфигураций. Кто-то поставил CSP 4.0, кто-то 5.0, у кого-то драйверы носителя вообще не доехали. Поэтому мы всегда фиксируем порядок и версии до старта — это экономит недели на разборе затыков.»

Выводы: установка электронной подписи с флешки

Установка подписи с USB-токена сводится к строгому порядку действий: драйверы носителя, КриптоПро CSP 5.0 R2 и выше, корневые сертификаты Минцифры и УЦ ФНС в правильные хранилища, личный сертификат с токена в хранилище личных сертификатов и в конце браузерный плагин. Перепутанный порядок или неверное хранилище — две самые частые причины, по которым подпись «не работает», хотя с токеном всё в порядке.

Главное, что стоит понять про сам носитель: подпись от УЦ ФНС обычно неэкспортируемая, скопировать её на вторую флешку нельзя, и каждому подписанту нужен свой контейнер. Версия криптопровайдера должна соответствовать типу ключа — старый CSP не работает с неизвлекаемыми ключами. Перед массовой установкой имеет смысл зафиксировать единый регламент: версии, порядок, модели токенов. Это снимает большую часть проблем ещё до того, как они появятся.

На горизонте ближайших лет аппаратные неизвлекаемые ключи и подпись на борту токена будут вытеснять извлекаемые контейнеры — они безопаснее и постепенно становятся стандартом в удостоверяющих центрах. Для рабочих мест это означает обновление провайдеров до актуальных версий и переход на активные токены линейки нового поколения.

Часто задаваемые вопросы